Sintesi riepilogativa delle campagne malevole nella settimana del 2 – 8 novembre
riepilogo
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 41 campagne malevole, di cui 26 con obiettivi italiani e 15 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 255 indicatori di compromissione (IoC) individuati.
Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.
Andamento della settimana
I temi più rilevanti della settimana
Sono 20 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:
- Rinnovo – Argomento utilizzato nelle campagne italiane di phishing rivolte a utenti Aruba.
- Ordine – Tema sfruttato in molte campagne, sia italiane che generiche, che veicolano i malware VIP Keylogger, Snake Keylogger, AgentTesla e Remcos.
- Avvisi di sicurezza – Argomento utilizzato una campagna generica di phishing ai danni di AVG e di due campagne di phishing italiane che sfruttano i brand Zimbra e Aruba.
- Documenti – Tema utilizzato per una campagna di phishing generica ai danni di utenti Microsoft e per una italiana che simula una comunicazione di una Webmail. Inoltre, l’argomento è servito per una campagna italiana di phishing ai danni di utenti Telegram.
Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.
Eventi di particolare interesse:
- Nuova ondata italiana di malspam PEC finalizzata alla diffusione del malware Vidar tramite link al download di VBS. I dettagli nella news del CERT-AGID. Le azioni di contrasto sono state intraprese dal CERT-AGID con il supporto dei gestori PEC.
- Identificata una campagna di phishing ai danni dell’Università di Pisa finalizzata al furto delle credenziali di accesso. La pagina fraudolenta, che presenta il logo dell’ateneo, è ospitata su un dominio Weebly. Gli IoC associati sono stati diramati alle PA accreditate ed è stato richiesto il takedown del sito malevolo.
- Individuata una campagna di phishing italiana veicolata tramite chat Telegram. Le vittime ricevono messaggi che invitano a cliccare su un link con l’obiettivo di impossessarsi della sessione Telegram. Ulteriori dettagli sul canale Telegram del CERT-AGID.
Malware della settimana
Sono state individuate, nell’arco della settimana, 8 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:
- AgentTesla – Rilevate diverse campagna generiche a tema “Ordine” e “Preventivo”, diffuse mediante email con allegati ZIP e TAR.
- FormBook – Individuata una campagna italiana a tema “Contratti”, diffusa tramite email con allegati IMG.
- Vidar – Rilevata una campagna italiana a tema “Pagamenti”, veicolata mediante PEC con link al download di VBS.
- Irata – Scoperta una campagna italiana che sfrutta il tema “Banking” e veicola l’APK malevolo tramite SMS.
- Remcos – Individuata una campagna generica a tema “Ordine”, diffusa tramite email con allegato RAR.
- VIPKeylogger – Individuata una campagna italiana a tema “Ordine”, diffusa tramite email con allegato DOC.
- BingoMod – Scoperta una campagna italiana che sfrutta il tema “Banking” e veicola l’APK malevolo tramite SMS.
- Snake Keylogger – Rilevata infine una campagna italiana “Ordine”, diffuse tramite email con allegato Z.
Phishing della settimana
Sono 17 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema Aruba, Webmail generica, Zimbra e Microsoft.